wiretap/README

   1 $Id: README,v 1.3 1998/11/15 05:29:05 guy Exp $
   2
   3 Wiretap is a library that is being developed as a future replacement for
   4 libpcap, the current standard Unix library for packet capturing. Libpcap is
   5 great in that it is very platform independent and has a wonderful BPF
   6 optimizing engine. But it has some shortcomings as well. These shortcomings
   7 came to a head during the development of Ethereal (http://ethereal.zing.org),
   8 a packet analyzer. As such, I began developing wiretap so that:
   9
  10 1. The library can easily be amended with new packet filtering objects.
  11 Libpcap is very TCP/IP-oriented. I want to filter on IPX objects, SNA objects,
  12 etc. I also want any decent programmer to be able to add new filters to the
  13 library.
  14
  15 2. The library can read file formats from many packet-capturing utilities.
  16 Libpcap only reads Libpcap files.
  17
  18 3. The library can capture on more than one network interface at a time, and
  19 save this trace in one file.
  20
  21 4. Network names can be resolved immediately after a trace and saved in the
  22 trace file. That way, I can ship a trace of my firewall-protected network to a
  23 colleague, and he'll see the proper hostnames for the IP addresses in the
  24 packet capture, even though he doesn't have access to the DNS server behind my
  25 LAN's firewall.
  26
  27 5. I want to look into the possibility of compressing packet data when saved
  28 to a file, like Sniffer.
  29
  30
  31 Currently, only #2 is available. Wiretap doesn't even do any filtering yet. It
  32 can only be used to read packet capture files.
  33
  34 File Formats
  35 ============
  36
  37 Libpcap
  38 -------
  39 The "libpcap" file format was determined by reading the "libpcap" code;
  40 wiretap reads the "libpcap" file format with its own code, rather than
  41 using the "libpcap" library's code to read it.
  42
  43 Sniffer
  44 -------
  45 The Sniffer format, at least for Token-Ring, is documented in the
  46 Sniffer manual.  Unfortunately, Sniffer manuals tend to document only
  47 the format for the Sniffer model they document.
  48
  49 LANalyzer
  50 ---------
  51 The LANalyzer format is available from http://www.novell.com. Search their
  52 knowledge base for "Trace File Format". The code in wiretap so far only dumps
  53 the packet data; I have yet to decode the timestamp for each packet. At least
  54 I have the format for this, so it will be supported soon.
  55
  56 "snoop"
  57 -------
  58 The Solaris 2.x "snoop" program's format is documented in RFC 1761.
  59
  60 Gilbert Ramirez
  61 <gram@verdict.uthscsa.edu>